[发明专利]一种网络多路入侵检测防御方法及系统

摘要

本发明涉及一种网络多路入侵检测防御方法及系统，在网络端在网卡驱动中使用半轮询方式捕捉数据包并形成规则判断异常流量。在操作系统端，通过在Linux的Capability模块中加入权限控制实现安全访问控制，同时对操作系统内核层进行监听和控制处理，对进程进行信任状特权仲裁、操作i节点、并且在应用层进行安全控制实现对木马等异常操作或病毒破坏的监控。形成的特征数据汇集后送入贝叶斯模型中分类并导入改进的反向传播神经网络(BPNN)进行数据训练，使产生的规则能抵御相应攻击。本发明包含网络数据包处理模块、操作系统层检测模块、检测中心模块等三大模块及其下设的五个子模块。

主权项

一种网络多路入侵检测防御方法，其特征在于步骤如下：步骤1：在终端的操作系统中使用数据包过滤的方法收集本网络中通过的指定或全部数据包，然后在操作系统的内核部分，使用半轮询方式对捕捉网卡驱动优化轮询效率，随后在捕捉数据包的过程中使用混杂模式进行旁路数据包监听，并且使用临界阀算法在捕捉数据包过程中计算数据包分类并检索的过程中使用排队论方法计算优化处理值提高其检索分类效率；然后利用检测审计的方式对捕获并分类的数据包提取检测的数据包特征，并集中上报；所述终端为网络中的数据包对象中分布的多个终端；同时针对网络中的各linux操作系统中执行的网络程序或者相应模块，使用驱动内核载入的方式对内核产生的信息进行监控；在其中的LSM模块基础上，修改Linux中POSIX.1e标准的Capability模块，既修改原有权能模块对操作系统权限的操作，使用钩子函数执行检测中心模块生成的规则，然后对操作系统内核操作实行监控并对进入到操作系统中的个体使用安全访问控制方式监控其行为；同时对其个体产生的进程根据其进程的信任状特权来进行仲裁，如果进程对系统中inode有操作则对其操作隔离处理，等待检测后进行生效或无效化处理。对监控到的内核操作信息放入消息队列并反馈到字符设备中，最后调用此字符设备并且把内核监控产生的其他未处理信息一起反馈到应用层子程序，随后应用层子程序把收集的报文同步到检测中心，之后执行步骤2的方法进行检测处理。步骤2：针对接收到的网络端和操作系统端中收集的特征信息，通过贝叶斯算法对于已知攻击产生识别，根据原有攻击概率模型计算出现现有特征信息为攻击或为未知不可信信息的概率，同时根据用户定义的安全级别进行分类，之后把通过算法分类的特征信息放入反向神经网络对规则进行训练，检测DDOS攻击、木马攻击或通过混合攻击进入操作系统产生破坏的攻击，并且根据检测出的攻击类型匹配对应的防御知识库并生成防御规则，然后反馈到相应端口；步骤3：如果攻击行为是针对操作系统端，则把规则反馈到操作系统应用层子程 序，应用层子程序解析规则并触发内核监控模块产生生效或无效化操作或者拒绝相应进程访问或调用系统进程；如果攻击行为是针对网络，则把生成的规则反馈到网络入口节点，由入口节点解析规则，并触发监控模块拒绝某源IP的报文或者数据包。